Dans une circulaire relative à la doctrine d’utilisation du cloud computing par l’État adressée aux secrétaires généraux des ministères, Nadi Bou Hanna, Directeur interministériel du numérique, a estimé qu'Office 365 (comprendre Microsoft 365) n'est pas conforme à la directive « Cloud au centre ». Pour mémoire, avec cette doctrine, le cloud devient dorénavant le mode d’hébergement et de production par défaut des services numériques de l’État français, pour tout nouveau produit numérique et pour les produits connaissant une évolution substantielle.La crise sanitaire actuelle a mis en évidence la caractère essentiel des outils numériques pour la résilience de la société. Les organisations publiques comme privées ont accéléré fortement leur numérisation pour maintenir leur activité et proposer de nouveaux services. La plupart de ces services existent aujourd’hui grâce aux technologies de cloud computing qui permettent d’héberger et de traiter les données des entreprises, des administrations et des citoyens.
Le cloud représente trois enjeux majeurs pour la France : la transformation des entreprises et des administrations, la souveraineté numérique et la compétitivité économique.
Compte tenu de ce triple enjeu, transformation, compétitivité et souveraineté, le Gouvernement a décidé la mise en œuvre d’une stratégie nationale portant sur les technologies cloud, en cohérence avec les initiatives européennes en la matière. Cette stratégie s’articule autour de 3 piliers que sont le label Cloud de confiance, la politique « Cloud au centre » des administrations et enfin une politique industrielle mise en œuvre dans le prolongement de France Relance. L'objectif annoncé est de « protéger toujours mieux les données des entreprises, des administrations et des citoyens français tout en affirmant notre souveraineté ».
Avec l’adoption de la doctrine « Cloud au centre », le Gouvernement fait du cloud un prérequis pour tout nouveau projet numérique au sein de l’État ou refonte substantielle de l’architecture applicative existante. Le Gouvernement espère accélérer la transformation numérique au bénéfice des usagers et dans le strict respect de la cybersécurité et de la protection des données des citoyens et des entreprises.
Voici les règles autour desquelles s'articule la doctrine :
[LIST][*][R1] pour tout nouveau projet numérique, quelle que soit sa taille, une solution cloud doit être recherchée : si le « cloud pour les utilisateurs » ne permet pas de remplir le besoin, une solution dédiée doit être envisagée sur une plateforme du « cloud pour les équipes informatiques ». Dans les deux cas, le mode produit doit être privilégié, incluant l’autonomie des équipes, la prise en charge continue des opérations, la confrontation rapide avec les utilisateurs du produit, et un jalonnement par l’impact permettant d’arrêter, d’infléchir ou d’accélérer la trajectoire du produit en fonction des résultats constatés ;[*][R2] les recrutements et les programmes de formation continue d’agents relevant à la fois des équipes informatiques et des directions sponsors des projets et des produits numériques, devront comporter un volet cloud computing. Il en va de même pour leurs managers. Les équipes qui expérimentent pour la première fois les approches cloud pourront bénéficier d’un accompagnement spécifique (coaching), mis en place par leur ministère, avec l’appui de la DINUM ;[*][R3] il appartient à chaque administration de mettre en place les processus d’incitation et de contrôle de cette politique, qui mesure le niveau d’adoption par les équipes, identifie les freins et tient à jour le plan d’action visant à leur levée ;[*][R4] tout projet relevant d'offres cloud commerciales devra comporter des conditions de fin de contrat et de réversibilité soutenables pour son administration, et provisionner les ressources financières, techniques et humaines correspondantes dès le lancement du projet, afin de rendre cette réversibilité activable effectivement. L’adéquation avec les règles1 de GAIA-X, notamment d’interopérabilité et de portabilité, devra également être recherchée dans la mesure du possible ;[*][R5] pour tout nouveau projet informatique, les équipes informatiques de l’État et leurs prestataires doivent par défaut s’appuyer sur une ou plusieurs des offres de cloud internes ou commerciales pour couvrir l’intégralité du cycle de production des applications (développement, recette, production, secours, éventuelles plateformes bac à sable et formation). Les ministères choisissent, en fonction de critères qui leur sont propres, et notamment le niveau de sécurité, le coût complet de possession, l’expertise RH dont ils disposent en leur sein, leurs besoins techniques et fonctionnels, les choix d’urbanisation préalable, s’ils recourent pour leurs produits numériques au cloud interne de l’État ou à une offre cloud commerciale ;[*][R5b] la règle [R5] s’applique par extension à tout produit numérique existant qui donne lieu à une évolution majeure (changement de prestataire, évolutions représentant au moins 50 % du coût de fabrication du produit initial ;[*][R6] les équipes qui souhaitent déroger à [R5] et [R5b] doivent le documenter auprès de la DINUM pour tout projet présentant un coût complet d’au moins 1 M€, en produisant une étude comparative sur les aspects économiques, juridiques, métiers ou de sécurité entre les scénarios ;[*][R7] le contrôle de la doctrine « cloud au centre » est désormais intégré à la procédure dite « article 3 » de contrôle de conception des grands projets informatiques de l’État, au-delà du seuil de 9 M€. Sous ce seuil, ce contrôle relève des ministères ;[*][R8] dans le cas d’un recours à une offre de cloud commerciale, les systèmes informatiques en production et en recette, incluant les éléments nécessaires à leur résilience, doivent respecter la règle suivante :
[LIST][*]tous les systèmes et applications informatiques manipulant des données à caractère personnel doivent être conformes au RGPD. Pour les systèmes contenant des données de santé, l’hébergeur doit de plus être conforme à la législation sur l’hébergement de données de santé,[*]si le système ou l’application informatique manipule des données d’une sensibilité particulière, qu’elles relèvent notamment des données personnelles des citoyens français, des données économiques relatives aux entreprises françaises, ou d’applications métiers relatives aux agents publics de l’État : l’offre de cloud commercial retenue devra impérativement respecter la qualification SecNumCloud (ou une qualification...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par Cpt Anderson
(on en [re]parle depuis le mandat de F. Hollande)